KongTuke la campagne qui transforme une extension de navigateur en une porte d'accès à distance persistante

Récemment, des chercheurs en sécurité ont découvert une campagne qui combine l'ingénierie sociale à l'écoute et des astuces techniques pour transformer une extension de navigateur en une porte à accès à distance persistant. Les résultats, publiés par Huntress, décrivent une opération nommée KongTuke qui a utilisé une extension malveillante qui prétendait être un bloqueur publicitaire, et qui a délibérément forcé le navigateur à bloquer pour tromper l'utilisateur et lui faire exécuter des commandes avec lesquelles il a téléchargé et déployé des logiciels malveillants avancés.

Le vecteur initial est étonnamment quotidien: quelqu'un est à la recherche d'un bloqueur de publicité, obtient une annonce malveillante et finit par installer une extension du magasin officiel Chrome qui semble légitime. La pièce malveillante identifiée par les chercheurs a été appelée "NexShield - Advanced Web Guardian" et a été conçue pour sembler presque identique à une version légitime de uBlock Origin Lite, ce qui a rendu plus facile pour des milliers d'utilisateurs de l'installer avant qu'il ne soit supprimé.

La chose intéressante du point de vue technique est comment l'extension transforme la frustration de l'utilisateur dans le mécanisme de livraison de la deuxième étape. Après une période de latence intentionnelle - la charge malveillante est activée avec le retard pour éviter la détection immédiate - l'extension montre une alerte frauduleuse qui indique que le navigateur a échoué et offre un « scan de réparation ». Si l'utilisateur suit les instructions, il vous est demandé d'ouvrir la boîte Exécuter Windows et de coller une commande qui est déjà sur le presse-papiers. Cette commande, loin d'être un utilitaire de diagnostic inoffensif, déclenche un mécanisme qui provoque une consommation extrême de ressources dans le navigateur: Les connexions de port Runtime sont créées à plusieurs reprises dans une boucle infinie jusqu'à ce que le navigateur devienne instable et finisse par s'effondrer.

La technique de surcharge spécifique abuse de l'API du navigateur interne pour créer une avalanche de connexions d'exécution, qui épuise la mémoire et le processeur jusqu'à ce qu'il provoque le gel et la fermeture. Pendant ce temps, l'extension implémente une logique qui détecte le redémarrage forcé du navigateur et réagit en montrant la même fenêtre frauduleuse dans le prochain démarrage, alimentant ainsi une boucle où la même "solution" est offerte à plusieurs fois aux utilisateurs déjà frustrés. Pour en savoir plus sur les API qui ont été abusés, la documentation d'extension de Chrome offre un contexte sur la façon dont les ports d'exécution fonctionnent: developer.chrome.com / docs / extensions / reference / runtime.

La campagne ne reste pas en difficulté : il y a un second acte malveillant. L'extension envoie un identifiant unique à un serveur contrôlé par l'attaquant et, lorsque certaines conditions sont remplies (l'identificateur existe, le serveur répond et l'utilisateur a interagi avec le popup), exécute une commande qui utilise un utilitaire Windows légitime pour télécharger l'étape suivante à partir d'une direction distante. Cette commande déclenche une chaîne PowerShell claire avec de multiples couches d'opérations Base64 et XOR, qui défigure une charge utile capable d'interroger l'équipe à la recherche d'outils d'analyse et d'environnements virtualisés. Si vous constatez que l'équipement fait partie d'un domaine d'affaires, le flux se termine par l'installation d'un cheval de Troie d'accès à distance écrit en Python, surnommé ModeloRAT.

ModeloRAT intègre le chiffrement RC4 pour les communications avec le serveur de commande et de contrôle, assure la persistance en modifiant le registre Windows et permet aux opérateurs d'exécuter des binaires, des bibliothèques, des scripts Python et des commandes PowerShell. Votre comportement d'enquête et de communication est conçu pour échapper à la détection : en fonctionnement normal, vous utilisez des intervalles inhabituels pour le "beaconing", mais vous pouvez passer à un mode actif avec des sondages très rapides lorsque vous recevez la commande. Après des échecs de communication répétés, malware réduit son rythme pour minimiser le bruit et rester plus vapeur.

Les détails techniques documentés par Huntress montrent que les opérateurs derrière l'infrastructure de trafic - connu dans la communauté comme KongTuke, 404 TDS ou TAG-124 selon différents rapports - ont une histoire de distribution de charges utiles et d'accès «livraison» à des tiers, y compris les familles Ransomware. Une analyse préalable de cette infrastructure et de ses associations avec d'autres groupes a été rapportée par des sociétés de renseignement, ce qui souligne qu'il ne s'agit pas d'un test isolé mais d'une chaîne de distribution ayant des objectifs opérationnels clairs. Pour le contexte de l'activité de ces systèmes de distribution et de leur utilisation par les acteurs criminels, des sociétés de renseignement comme Enregistred Future ont publié des analyses sur les groupes et les SDT qui facilitent ce type de commerce illicite (voir Avenir enregistré).

En ce qui concerne la persistance de la campagne et les défenses techniques: l'extension a intégré des mesures anti-analyse, telles que désactiver le menu contextuel et bloquer les raccourcis clavier pour rendre difficile pour l'utilisateur d'ouvrir des outils de développeur ou inspecter le code. En outre, la charge finale vérifie des centaines d'indicateurs d'environnements d'analyse et d'interruption si vous trouvez des enregistrements typiques de laboratoires de malware, ce qui complique le travail des chercheurs. Les indicateurs de l'infrastructure et les fichiers associés à la campagne ont été enregistrés sur des plateformes telles que VirusTotal pour le suivi: nexsnield [.] com dans VirusTotal.

Au-delà de l'explication technique, il y a une leçon claire sur le facteur humain. Cette attaque explore la confiance dans les extensions de navigateur et les messages qui semblent résoudre un problème immédiat. En faisant semblant d'un projet open source connu et en reproduisant son interface, les attaquants réduisent les signaux d'alarme et augmentent les chances de la victime de suivre les instructions.

Que peuvent faire les utilisateurs et les entreprises pour réduire les risques? Premièrement, les instructions de méfiance qui demandent d'exécuter des commandes copiées depuis un site ou une fenêtre pop-up : ne collez jamais ou n'exécutez jamais des commandes que vous n'avez pas cochées. Examiner et gérer les extensions installées, en éliminant tout élément inconnu ou ne provenant pas d'une source de fiducie. Pour l'aide étape par étape sur la façon de supprimer les extensions dans Chrome, la documentation officielle de Google offre des indications claires: support.google.com / chrome / ansher / 187443. Dans les environnements d'entreprise, les politiques de gestion des extensions et les contrôles d'installation centralisés peuvent empêcher les utilisateurs d'installer des suppléments non autorisés. Il est également recommandé que les équipes de sécurité vérifient les connexions sortantes et les anomalies des paramètres, et tiennent les solutions antivirus et EDR à jour pour détecter les modèles d'exécution des scripts et la persistance dans le Registre.

Enfin, il est important de se rappeler que les attaquants utilisent souvent des outils système légitimes pour télécharger et exécuter des charges utiles, en utilisant des utilitaires Windows inclus pour diluer le signal malveillant. Un exemple technique d'utilitaire utilisé dans cette campagne est la référence officielle de Microsoft à certaines commandes système, que vous devriez savoir pour comprendre comment ils peuvent être abusés: finger.exe dans la documentation Microsoft.

La campagne KongTuke et sa variante CrashFix rappellent que la sécurité dans la navigation passe par une combinaison d'hygiène numérique individuelle et de politiques techniques robustes. Les extensions sont puissantes et utiles, mais elles constituent également une zone d'attaque qui peut être exploitée très efficacement lorsqu'elle est combinée à une tromperie psychologique bien exécutée et à des infrastructures de distribution déjà éprouvées. L'information, la confirmation des sources et la mise en place de contrôles techniques sont les meilleures défenses contre ces menaces.

Pour une lecture directe et technique du rapport qui a motivé cette analyse, la recherche originale de Huntress fournit une ventilation complète de la chaîne d'attaque et des indicateurs d'engagement: Chasseur - CrashFix / KongTuke. Pour contraster et élargir le contexte des acteurs associés et des SDF, il convient de consulter d'autres rapports de renseignement et dépôts techniques.